Economía

“Tarjeta fantasma”: los delincuentes roban tus pagos sin contacto en segundos... y frente a ti

Los delincuentes venden tarjetas de crédito clonadas en mercados clandestinos por hasta 110 dólares

El ataque de la “tarjeta fantasma” demuestra cómo los delincuentes pueden usar tu plástico sin tocarlo ni tenerlo físicamente.
El ataque de la “tarjeta fantasma” demuestra cómo los delincuentes pueden usar tu plástico sin tocarlo ni tenerlo físicamente. Foto: Dall-E
Por Ignacio Gómez Villaseñor

Los pagos con tarjeta sin contacto se han vuelto parte de la rutina: basta acercar el plástico o el celular a la terminal y listo. Sin embargo, esa misma tecnología —conocida como NFC (Near Field Communication)— también ha abierto una peligrosa puerta al fraude y la clonación.

Una de las formas más alarmantes de este nuevo delito se conoce como “Tarjeta fantasma”, un método con el que los delincuentes logran suplantar un dispositivo o tarjeta bancaria sin tenerla físicamente en sus manos.

En la práctica, el escaneo puede ocurrir en un abrir y cerrar de ojos y sin que la víctima lo note: con un lector pequeño oculto en un bolso, un teléfono móvil infectado con la app adecuada o incluso un aparato disfrazado de cargador, un atacante puede captar la señal NFC cuando acercas tu tarjeta o tu celular para pagar.

Eso significa que, mientras haces la fila en el supermercado, subes al metro, pagas un café o sacas la entrada en un concierto, los datos esenciales pueden leerse en segundos y ser retransmitidos a otro punto, dejando la impresión de que todo fue una transacción normal —pero en realidad alguien más replicó o usó esa información sin tocar tu plástico.

Te interesa leer: ¿Cuánto vale tu tarjeta robada? En la dark web sube 444% su precio ]

De la comodidad al riesgo: cómo funciona el engaño

El sistema NFC es una versión más moderna del RFID, que permite el intercambio de información a muy corta distancia (apenas unos centímetros). Esa aparente limitación da sensación de seguridad, pero según expertos, es suficiente para que ciberdelincuentes intercepten o manipulen los datos que se transmiten.

Durante el Foro ESET de Seguridad Informática 2025, celebrado en Punta del Este, Uruguay —en el que Publimetro México estuvo presente—, especialistas explicaron cómo este corto alcance puede ser aprovechado para vulnerar tarjetas y dispositivos.

La investigadora Fabiana Ramírez Cuenca, de ESET, señaló los principales riesgos asociados a esta tecnología:

  • Skimming o robo de información.
  • Ataques de retransmisión (Relay attack), que replican la señal NFC a distancia.
  • Robo y exposición de datos sensibles.
  • Escritura maliciosa, que altera la información del chip.
  • Suplantación de dispositivos, base del ataque de la “Tarjeta fantasma”.

Ramírez demostró además que algunas tarjetas —como las que usan el sistema MIFARE Classic— guardan las claves de seguridad en una zona fácilmente accesible, lo que permite leer y copiar la información.

Cuando el celular se vuelve cómplice: el caso de NFCGate

La amenaza se agrava con la aparición de malware móvil, programas diseñados para robar información de las tarjetas sin contacto.

La investigadora Martina López, también de ESET, presentó un caso práctico con el ataque NFCGate, que combina trampas psicológicas con técnicas digitales:

  1. Primer paso: la víctima recibe un SMS falso con un enlace que instala una app maliciosa.
  2. Segundo paso: el delincuente finge ser del banco y llama para “verificar” un supuesto problema de seguridad.
  3. Tercer paso: convence a la persona de cambiar su NIP e instalar otra aplicación llamada Ngate.
  4. Paso final: el atacante roba tanto el nuevo PIN como los datos NFC que la víctima usa al pagar.

En resumen: el celular infectado actúa como un “puente” que transmite la información bancaria a distancia, sin que el usuario lo note.

En el Foro ESET 2025 se demostró cómo la suplantación NFC permite clonar tarjetas y dispositivos de pago usando señales de corto alcance.
En el Foro ESET 2025 se demostró cómo la suplantación NFC permite clonar tarjetas y dispositivos de pago usando señales de corto alcance. Foto: ESET

Cuánto valen tus datos en la dark web

El robo de información financiera no es un experimento teórico, sino un negocio real.

De acuerdo con Mario Micucci, especialista de ESET, una tarjeta de crédito robada puede venderse entre 10 y 110 dólares (de unos 184 a 2,033 pesos mexicanos) en foros clandestinos.

Los ciberdelincuentes buscan sobre todo credenciales y datos personales que les permitan seguir explotando las cuentas o suplantar identidades.

Cómo protegerte de la clonación por NFC

Los expertos coinciden en que la prevención es la mejor defensa. Muchos ataques empiezan con ingeniería social —mensajes, llamadas o apps falsas— más que con fallas tecnológicas.

Estas son las recomendaciones más efectivas:

  • Guarda tus tarjetas en billeteras o fundas con bloqueo NFC.
  • Desactiva la función NFC en el celular cuando no la uses.
  • Revisa la configuración para que los pagos solo se realicen si el teléfono está desbloqueado.
  • No escanees etiquetas NFC desconocidas (por ejemplo, en carteles o lugares públicos).
  • Activa alertas de movimientos en tus apps bancarias.
  • Usa doble autenticación (2FA o MFA) para operaciones sensibles.

Tags

Lo Último